各个机构所倚重的网络化业务应用正面临越来越多的攻击威胁,因而可能导致重大的财务损失。根据 CSI/FBI对《财富》杂志评出的前1000位公司的调查,在2002年,因为蠕虫、病毒和DoS攻击,每个机构的平均损失高达170万美元。为了成功应对呈爆炸性增长而且后果日趋严重的应用级别攻击,各个机构必须重新审视自己的安全策略。
本文阐述了为实现网络化应用的有效保护而存在的主要挑战,并且介绍了Radware的DefensePro是如何以3千兆位速度的应用安全来防范恶意入侵和DoS攻击,从而允许机构正常使用和保护大型环境中的应用的。
需求
对于一个行之有效的安全解决方案,它必须考虑当前在应用和安全上的挑战。这些挑战包括:
1. 对分布式应用的依赖性不断增强 – 各个机构日益依赖基于Web的应用和业务级的分布式应用来开展业务。分支机构和生产部门也会通过广域网从远程访问CRM和ERP等关键应用。
2. 网络化应用容易受到攻击 – 由于80、139等端口通常是打开的,因此如果不对借助这些端口穿越防火墙进入网络的流量进行检测,网络化应用将非常容易遭到病毒、入侵、蠕虫和DoS等形式的攻击。为保护网络化应用的安全,需要对所有流量进行深入的数据包检测,以实时拦截攻击,并且防止安全性侵害进入网络并威胁各个应用。
3. 呈爆炸性增长的攻击 – 应用攻击的数量和严重性都在飞快地增长,仅2003年就出现了4200多种攻击形式,而且这一数字每年都会翻一番。
相应地,这些攻击造成的损失也呈直线上升趋势。据报道,2003年8月成为IT历史上最糟的一个月。在该月,仅Sobig病毒就在全球造成了297亿美元的经济损失。
4. 当前的安全工具无法拦截这些攻击 – 在应用层的攻击面前,防火墙、IDS以及防病毒网关等现有的安全工具缺乏相应的处理能力、性能和应用安全智能,从而使各个机构暴露无遗。
因此,一种能用数千兆位的速度对所有流量进行双向扫描并且可以实时防范各种应用层攻击(比如蠕虫、病毒、木马和Dos攻击)的内置安全解决方案,无疑已成为当务之急。
Radware DefensePro在业内首先提供了以3千兆位的速度防范入侵和拒绝服务攻击的安全交换机。该交换机可以实时地隔离、拦截和阻止各种应用攻击,从而为所有网络化应用、用户和资源提供了直接保护。
DefensePro的功能和优点
DefensePro是3千兆位速度的安全交换平台,它为保护网络化应用免遭攻击威胁提供了高速的入侵防范能力和拒绝服务攻击防范能力。
本节着重介绍了DefensePro的以下性能:
1. 攻击监测和隔离。
2. 入侵防范。
3. 拒绝服务攻击防范。
4. 流量控制。
5. 安全更新服务。
6. 安全性报告。
攻击监测和隔离
网络管理人员在同攻击作斗争时面临的主要难题之一是,他们无法扫描和检查应用层的流量。
DefensePro不仅为管理员提供了对网络流量的全面监视能力,而且还使得他们可以实时识别蠕虫、病毒和异常的流量模式,从而实现对所有活动威胁的完全监视。
一旦检测到攻击,DefensePro就会实施积极的攻击隔离措施。它会通过带宽管理对所有受影响的应用、用户或网段进行动态的带宽分配限制,从而即时地控制攻击的影响和危害。
通过控制DoS攻击所可能占用的最大带宽并且限制该攻击的影响,可以确保其它的关键业务应用不会受到影响,并且可以继续获得为保证业务的平稳运行而所需的带宽和服务水平。基于类似方式,通讯运营商也可以保证用户的SLA不会因为对其它用户发动的DOS攻击而受到影响。
借助DefensePro的高端口密度,用户可以同时保护多个网络段。通过扫描和保护各个网络段,DefensePro可以防止攻击在机构的网络段和各个层级之间传播。这样就最大限度减少了感染机会,并且可以控制攻击带来的影响和危害。
入侵防范 – 应用级别的保护
对网络化应用的依赖性不断增强也使得公司网络要面临病毒、入侵、特洛伊木马和其它攻击的威胁。这些攻击会使用80端口和其它打开的应用端口(如139、 445等)穿越防火墙而进入公司网络中。据2003年8月刊的Network World报道,77% 的应用级别攻击都是通过80端口发动的。
资料来源:Network World,2003年8月
图1:不同应用级别攻击的分布图
DefensePro入侵防范功能可以用3千兆位的速度检测和拦截1200多种病毒、蠕虫和特洛伊木马,从而快速而全面地清除所有恶意入侵:
对各个网络段的流量进行双向扫描
DefensePro 是为嵌入式部署而设计的,它可以在具有多个网络段的网络中对所有流量进行实时扫描。在扫描过程中,DefensePro会对数据包进行逐一检查,并根据恶意攻击模式执行特征比较。它可以识别Radware安全数据库中的1200多种攻击特征。为了防范新的攻击形式,该数据库会不断被更新。对于未知形式的攻击,可以使用协议异常检查功能来检测。通过检查协议的异常性,可以检测异常的数据包碎片,而这大多数情况下标识了恶意活动。
3千兆位速度的攻击特征比较
为了支持数千兆位的特征扫描速度,DefensePro专门采用了基于ASIC的强大加速器 – StringMatch EngineTM。 StringMatch Engine支持并行的特征搜索操作,可对照特征数据库进行高速的检测和数据包比较。同使用 Intel Pentium 4 CPU进行串行特征搜索相比,其字符串搜索速度提高了300倍。
实时抑制攻击
当检测到恶意活动时,DefensePro可能以任何组合形式立即执行以下的这些操作:丢弃数据包、重置连接以及向管理位置发送报告。这样就为该设备之后的应用、操作系统、网络设备和其它网络资源提供了全面保护,以免它们遭到蠕虫、病毒和其它形式的攻击。
DefensePro具有针对不同网络或网络段实施不同安全策略的灵活性,从而可以适应为保护不同应用和服务而所需的各种用户安全要求(对通讯商而言)和网络段安全要求(对公司而言)。
防扫描功能
黑客在发起攻击之前,通常都会设法确定打开的TCP和UDP端口。一个打开的端口可能意味着一种服务、应用或者一个后门。如果端口不是用户特意打开的,则可能导致严重的安全问题。DefensePro的应用安全模块提供了旨在阻止黑客获取该信息的全面机制,方法是拦截并修改发送给黑客的服务器应答。
DoS Shield – 彻底防范拒绝服务攻击
在过去的12个月中,拒绝服务攻击所导致的损失有显著的上升势头。最近的调查1表明,拒绝服务攻击(DoS)在2003年导致每个机构平均损失了1427028美元,这个数字比2002年高了5倍。
DefensePro的DoS Shield模块借助高级的取样机制和基准流量行为监测来识别异常流量,提供了实时的、数千兆位速度的DoS防范。该机制会对照DefensePro攻击数据库中的DoS攻击特征列表(潜在攻击)来比较流量样本。
一旦达到了某个潜在攻击的激活阈值,该潜在攻击的状态就会变为Currently Active(当前活动),这样就会使用该潜在攻击的特征文件来比较各个数据包。如果发现匹配的特征,相应的数据包就会被丢弃。如果没有匹配的特征,则会将数据包转发给网络。
借助高级的取样机制检测DoS攻击,不仅可实现完全的DoS和DDoS防范能力,而且还保持了大型网络的高吞吐量。
除了上述基于攻击特征的防范方法外,DefensePro还针对各种类型的SYN flood攻击提供了强大的防护能力(无论该攻击是使用何种工具发动的)。这种被称为SYN Cookie防范的机制可执行延迟绑定(终止TCP会话)并且在TCP确认数据包中插入一个ID号来鉴别SYN请求。完成这种三向握手后,DefensePro仅处理含有在此前插入的ID号的请求。这种机制可以保证只有合法的请求才会被发送到服务器,而任何SYN flood攻击都将在DefensePro处被终止,因而不会蔓延到服务器以及DefensePro自身。
DefensePro的强大架构允许它处理大规模的SYN flood攻击。在消费者实验室中执行的测试表明,DefensePro每秒最多可拦截100万个SYN请求(相当于500Mbps的速度),同时可保持合法流量的转发。
报告功能
当DefensePro 检测到攻击时,它会将该安全事件报告。在报告中包含有全面的流量信息,比如源IP地址和目标IP地址、TCP/UDP端口号、物理接口以及攻击的日期和时间。可以使用设备日志文件和报警表格在内部记录安全事件信息,或者通过系统日志渠道、SNMP陷阱或电子邮件将安全事件信息发送到外部。 Configware Insite的安全报告功能提供了全面的安全报警、报告和统计信息,借此可以查看安全性攻击摘要,包括前10位攻击、总的攻击流量、按IP地址分类的攻击,等等。
Configware Insite可以在Windows、Linux和Unix操作系统上运行。借助插件,它还可以在HPOV、Unicenter和Tivoli管理应用系统上运行。
流量控制
借助DefensePro的带宽管理功能,可以动态性地对流量进行控制,以保证所有关键任务应用的持续运行和性能(即使在攻击之下)。通过控制资源和区分流量的重要程度,DefensePro流量控制功能可以限制处于攻击之下的各个应用所占用的带宽,同时保证所有安全流量能获得充足的资源。对机构而言,这样就保证了ERP和CRM等关键任务应用的性能和不间断运行。
Radware在Web上的安全更新服务
Radware安全更新服务提供了即时的和经常性的安全过滤器更新,这为防范包括病毒、蠕虫和恶意攻击特征在内的最新应用安全危害提供了可能,从而可实现对应用、网络和用户的完全保护。
所有的DefensePro用户都可以通过期限为一年或多年的预订来获得Radware安全更新服务。
Configware Insite 的用户可以享受到自动更新带来的便利。这些用户可以配置Configware Insite,让它定期轮询Radware的网站,以检查是否有新的安全更新。如果有这样的更新,Configware Insite会自动下载它们,然后通知管理员它已下载了新的攻击特征。
该安全更新服务包括以下的主要服务要素:
·安全运行中心 (SOC) 24/7地检视:不间断地监测、检测威胁,对威胁进行风险评估以及创建过滤器来抑制威胁
·每周更新:按计划对特征文件进行定期更新,通常在星期一。可通过Radware Configware Insite自动分发,或用户主动从www.radware.com下载
·紧急过滤器:通过紧急过滤器,可针对高危的安全性事件作出快速反应
·定制过滤器:针对特定环境下的威胁以及新出现的攻击报告给SOC的攻击定制过滤器
架构
DefensePro的4层架构是为满足企业、电子商务公司以及通讯商在网络和应用保护方面最紧迫的需求而设计的。本节将介绍DefensePro硬件平台的四个主要组件,它们分别是:
·交换结构和交换ASIC
·网络处理器
·StringMatch Engine
·高端的Power PC RISC处理器
图4:DefensePro架构
44 Gbps的交换结构 & 业内最高的端口密度
DefensePro 无阻塞的44千兆位交换背板基于多层的分布式交换架构,使用了可确保1个10GbE端口、7个1千兆位端口以及16个高速以太网端口实现线速交换的交换 ASIC。借助业内最高的端口密度和最高的交换性能,一台DefensePro设备就可以执行对多个网络段的双向扫描。其中,每个网络段将使用两个端口进行连接(一个入站端口和一个出站端口)。这为公司和通讯商的内部网络提供了完全的安全性(在所有网络段中避免蠕虫、病毒和DoS攻击蔓延)以及可保护任何网络配置的灵活性。
最先进的网络处理器
两个网络处理器将并行工作,它们可以用数千兆位的速度同时处理多个数据包(实现了更快的第4至第7层安全交换速度)并且执行所有同数据包处理有关的任务,包括流量转发和拦截、流量控制以及延迟绑定(以防范SYN flood攻击)。尤其是,它们可以用每秒100万个SYN请求的空前速率来防范拒绝服务攻击和任何已知或未知的SYN flood攻击。
对第4层攻击的检测和防范是由网络处理器完成的,这有助于提升防范这些攻击类型时的性能。如果需要执行更深入的数据包检查(第7层扫描),则会将数据包转发给 StringMatch Engine(专用的硬件卡,是专为提供更快速的特征和模式比较以识别攻击特征而设计的)。StringMatch的模式比较结果确定了数据包是合法流量还是恶意攻击。与此结果相对应,网络处理器会转发数据包或丢弃数据包然后重置有关会话。
除了清除所有可疑流量外,网络处理器还支持端到端的流量控制和带宽分配管理,以确保所有安全流量有稳定的服务水平,并且保证关键任务应用的连续性和服务质量(即使在受到攻击的情况下)。
Radware StringMatch Engine – 基于ASIC的专用安全硬件加速器
Radware StringMatch Engine 是一种专用的硬件卡,旨在提供更快速的数据包检查和特征比较。StringMatch Engine由ASIC(最多8个,可支持256,000个并行的字符串搜索操作)和高端的Power PC RISC处理器(负责安排和运行并行搜索算法)构成。StringMatch engine提供了9千兆位速度的自由范围搜索和16千兆位速度的固定偏移搜索,其性能无与伦比。
同业内其它安全设备通常使用的 800Mhz Pentium III CPU或Pentium 4 CPU相比,Radware StringMatch Engine的内容检查速度显得鹤立鸡群。StringMatch Engine比800Mhz的Pentium III CPU快1000倍,比Pentium 4 CPU快 300倍。
CPU-1 GHZ的安全会话管理
DefensePro的RISC处理器使用的是 Motorola PPC 7457。这是业内最快的处理器,它负责管理所有安全性会话并且区分它们的优先级。它不仅可识别所有的活动攻击并且控制 StringMatch Engine和网络处理器中隔离、拦截和阻止攻击的活动操作,而且还可以管理所有的安全更新和网络要求。
借助2个高端的RISC处理器(每个都相当于一个G4工作站)、2个网络处理器以及端口级别负责流量转发的44 Gbps交换ASIC,DefensePro安全交换架构提供了无与伦比的性能和计算能力,可以满足将来在应用安全方面的任何需求。
典型配置
企业配置
此处介绍了最为常见的DefensePro安装形式。这种在网络的网关位置进行的嵌入式安装允许DefensePro以数千兆位的速度执行实时而深入的数据包检查和双向扫描,从而保护所有企业流量免遭1200多种应用级别的攻击(包括蠕虫、病毒和DoS攻击)。
在网络的网关位置防范DoS攻击,不仅保护了公司资源和基础体系,而且还保护了公司的安全工具不会超负荷运行,从而即使是在DoS攻击之下也能保证它们的连续运行。通过实施带宽管理策略,可以即时隔离攻击、蠕虫和病毒,防止它们传播到各个楼层/网段,从而限制了它们的危害程度,并且确保了保持业务运行所需的可用性和性能。DefensePro的透明特性就好比是一种“智能化的绳索”,通过它,DefensePro可以实现同任何网络环境的无缝集成。
另外还有一种流行的配置。该配置利用了DefensePro的高端口密度和3千兆位的交换速度。在这样的配置中,DefensePro同时连接了多个网络段。每个网络段使用2个端口。借助该配置,用户通过一台设备就可以实现对所有网络段的双向扫描,因而改进了隔离效力,并且增强了对源自机构网络内外的攻击、蠕虫和病毒的防范能力。
优点:
实时的入侵防范功能可杜绝蠕虫、病毒和特洛伊木马的攻击
实时防范拒绝服务攻击和SYN攻击
保护所有局域网网段和流量的安全
可将攻击带来的危害隔离起来
可实现同任何网络环境的无缝集成
通讯商解决方案
随着越来越多的蠕虫、病毒和DoS攻击都是针对机构和通讯商的网络服务发起的,因此这些攻击对业务的连续运行能力造成了严重威胁。对借助国内和国际骨干网提供DNS和电子邮件服务以及为企业提供Internet连接的通讯商而言,这些安全性威胁已日益成为一种挑战。
本节介绍了通讯商所面临的一些最为紧迫的安全性难题,并且相应地给出了如何在杜绝安全性威胁的情况下提供正常服务的解决方案。
本节介绍的所有安全解决方案都基于DefensePro的以下功能:
·隔离蠕虫、病毒和DoS攻击
·为用户提供安全连接
·过滤骨干链路上的恶意代码 共2页: 1 [2] 下一页